Trend Micro Security

TROJ_NEUREVT.TVD

2015年5月19日
 解析者: Pearl Charlaine Espejo   
 別名:

Trojan.Win32.VBKryjetor.bjt (Kaspersky); Trojan.Agent.NNAGen (Malwarebytes); Trojan.Ransomlock.G (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 374,784 bytes
タイプ EXE
発見日 2015年5月18日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %ProgramData%\iexplore\{random filename}.exe (for Windows Vista and above)
  • %Program Files%\iexplore\{random filename}.exe (for Windows XP and below)

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

マルウェアは、以下のフォルダを作成します。

  • %ProgramData%\iexplore (for Windows Vista and above)
  • %Program Files%\Common Files\iexplore (for Windows XP and below)

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = "%Program Files%\Common Files\iexplore\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = "%Program Files%\Common Files\iexplore\{random filename}.exe" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
iexplore = "%ProgramData%\iexplore\{random filename}.exe" (for Windows Vista and above)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = "%ProgramData%\iexplore\{random filename}.exe" (for Windows Vista and above)

マルウェアは、特定のアプリケーションの起動時に自身が自動実行されるよう、「Image File Execution Options」キーを用いて以下のレジストリキーおよびレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random filename}.exe
DisableExceptionChainValidation =

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Win7zip

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ile.cl/js/order.php

マルウェアは、実行後、自身を削除します。